金曜日, 5月 14, 2010

【マルウェア情報】「Palevo」ワーム新規バーションに付いて

一つマルウェア種類の中にワームがあります。今現在2つ新規ワームが流行ってます新規種類「Palevoワーム」と「WORM_PITUPI.K」です。「WORM_PITUPI.K」についてTrendMicro社が詳しく説明されてますが、私の方が新規種類「Palevoワーム」を説明します↓
「Palevo」ワーム
このワームは昨年12月から発見し、様々はP2Pネットワークで全世界のP2Pユーザーに感染します(その時の情報はこちらへ)。Palevoワームと「WORM_PITUPI.K」が微妙に似てます。違いのは「WORM_PITUPI.K」のバイナリー名前は変わってくるけど、Palevoはバイナリー種類がどんどん出てくる。昨日(13日)の時点では「Palevo」新しい種類が発見しました。下記はサンプルのレポートとなります↓
# Submission received: 13 May 2010, 12:15:02
# Processing time: 7 min 34 sec
# File MD5: 0xB8A04A265237E3B9480EAE6A6291EB08
# File SHA-1: 0xC460DA08AC0401EB59ABB3D200AC1E3EA9A90695
# Filesize: 217,088 bytes

マルウェアスキャン結果は下記となります
Voronezh.1600.A [PCTools]
W32.Pilleuz!gen4 [Symantec]
P2P-Worm.Win32.Palevo.afbi [Kaspersky Lab]
Mal/EncPk-NS, Mal/Palevo-A [Sophos]
Win32/Palevo1.worm.Gen [AhnLab]
※このスキャン結果の件↑ですが、このワームの新しい種類はどんどん出ますので、最新の物ですと殆どヒューリスチック検知方法しか出来ないですので、ウイルス名前はその時に殆ど出ません。

このワームのバイナリーをdisassemblerしたら下記の機能が確認できた↓
・ネットワークデバイスを認識、そのデバイスへコピー動きが発見
・USBドライバースキャンし、コピー動きが発見
・P2P関係のソフトを(コードの中に書いたるのは⇒Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule, LimeWireのP2Pソフトです )認識し、P2Pシェアフォルダーへコピーする動きが発見。
追加情報ですが、現在見つけたサンプルではメールに添付されたファイルとなります。日本にあるメールサーバに発見しました。メールに添付されたの原因は未だ調査中です。

このワームのリファレンスは下記のURLでスキャン結果が残ります↓

---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿